Igepha - The Austrian Self Care Association


Für eine gesunde
Zukunft

Datenschutzverordnung: Was ist zu tun?

Ab 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Unternehmen werden spätestens ab diesem Zeitpunkt beim Erfassen, Verarbeiten und Speichern personenbezogener Daten noch sorgfältiger vorgehen müssen.Datenschutz ernst nehmen

Die Datenschutzgrundverordnung der EU (DSGVO) ist derzeit Thema vieler Business-Smalltalks und Seminare. Welche Verpflichtungen kommen auf die Unternehmen zu? Welche Maßnahmen sind zu treffen? Und warum sind pharmazeutische Unternehmen in besonderer Weise betroffen?

Die DSGVO dient dem Schutz personenbezogener Daten identifizierbarer, natürlicher Personen, die digital oder analog verarbeitet werden.

Prinzipiell ist Datenverarbeitung verboten. Daten dürfen jedoch ausdrücklich aus folgenden Gründen verarbeitet werden:

  • Es existiert eine gesetzliche Verpflichtung zur Datenverarbeitung.
  • Die Zustimmung des Betroffenen liegt für einen oder mehrere Zwecke vor.
  • Es besteht ein überwiegend berechtigtes Interesse des Auftraggebers (gilt nicht für sensible Daten, z. B. Gesundheitsdaten!).
  • Für die Erfüllung eines Vertrages.
  • Lebenswichtige Interessen des Betroffenen sind zu schützen.
  • Es besteht ein öffentliches Interesse.

Werden personenbezogene Daten verarbeitet, so sind unter anderem folgende Grundsätze zu beachten:

  • Rechtmäßigkeit und Zweckbindung: Für jegliche Datenanwendung ist eine Rechtsgrundlage erforderlich. Die Daten dürfen nur für den vereinbarten Zweck verwendet werden.
  • Transparenz: Informationen über den für die Datenverarbeitung Verantwortlichen (z. B. ein Unternehmen, das Daten von Newsletter-Empfängern sammelt) sollen an leicht zugänglicher Stelle (z. B. auf der Website des Unternehmens) und in verständlicher, einfacher Sprache formuliert sein.
  • Datenminimierung: Mittels technischer und organisatorischer Maßnahmen ist dafür zu sorgen, dass nur die wirklich notwendigen Daten verarbeitet werden.
  • Datenrichtigkeit: Falsche Daten müssen umgehend gelöscht werden.
  • Speicherbegrenzung: Daten sollen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Neu: Verzeichnis der Verarbeitungstätigkeiten

Nach bisheriger Rechtslage mussten meldepflichtige Datenanwendungen bei der österreichischen Datenschutzbehörde registriert werden. Das DVR-Register, das dieser Erfassung diente, wird per 25. Mai 2018 nicht mehr weiter verwendet. Nach neuer Rechtslage besteht nun für Verantwortliche und mit der Verarbeitung beauftragte Vertragspartner (sogenannte Auftragsverarbeiter) die Pflicht, ein Verzeichnis von Daten-Verarbeitungstätigkeiten zu führen.

Diese Pflicht, ein Verfahrensverzeichnis zu führen, trifft prinzipiell Unternehmen ab 250 Mitarbeitern. Kleinere Unternehmen sind nur betroffen, wenn

  • ein Risiko für Rechte und Freiheiten von Betroffenen besteht (z. B. wenn es um Bonitäts-Scoring geht, um Betrugsprävention, um GPS-Ortungen oder Videoüberwachung),
  • sensible oder strafrechtlich relevante Daten verarbeitet werden oder
  • die Datenverarbeitung nicht nur gelegentlich stattfindet.

Pharmazeutische Unternehmen sind somit verpflichtet, ein Verfahrensverzeichnis zu führen, wenn sie Patientendaten erfassen, falls es sich dabei um sensible Gesundheitsdaten handelt. Das Etikett „nicht nur gelegentlich“ betrifft zudem alle Unternehmen, die beispielsweise eine Lohnverrechnung für ihre Mitarbeiter führen – auch dabei handelt es sich um die Verarbeitung personenbezogener Daten. Das Führen eines Verfahrensverzeichnisses ist daher jedem Unternehmen zu raten, da der Auffangtatbestand der nicht nur gelegentlichen Datenverarbeitung sehr weit ist. Wurden bereits Informationen gemäß dem alten Datenschutzgesetz 2000 im DVR-Register gespeichert, so können diese Inhalte nun exportiert und in das neue Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO übertragen werden.

Braucht man einen Datenschutzbeauftragten?

Verpflichtend ist ein Datenschutzbeauftragter künftig für Behörden und öffentliche Stellen, für Unternehmen, deren Kerntätigkeit in der regelmäßigen und systematischen Überwachung liegt (z. B. im Bereich „Telekommunikation“, aber auch für Betreiber von Fitness Apps etc.) sowie für Unternehmen, deren Kerntätigkeit darin besteht, umfangreich besondere Kategorien von Daten oder strafrechtlich relevante Daten zu verarbeiten (das trifft z. B. auf Krankenhäuser oder Detektivagenturen zu).

Nicht jedes Unternehmen ist somit gesetzlich verpflichtet, einen Datenschutzbeauftragten zu ernennen. Jedoch empfehlen Experten, zumindest einen internen oder externen Datenschutzverantwortlichen zu benennen. Dieser sorgt dann auch dafür, dass im Unternehmen eine gesetzeskonforme Datenschutzkultur herrscht.

Schweigen ist keine Einwilligung!

Werden personenbezogene Daten aufgrund der Einwilligung der betroffenen Person verarbeitet, so muss die Einwilligung zuvor eingeholt werden. Wichtig ist, dass es sich tatsächlich um eine freie Wahl handelt, bei der der Betroffene auch in der Lage sein muss, seine Einwilligung zu verweigern oder diese zurückzuziehen, ohne Nachteile zu erleiden. Zudem muss jederzeit die Möglichkeit bestehen, die bereits erteilte Einwilligung zu widerrufen, wobei der Widerruf ebenso einfach zu bewerkstelligen sein muss wie die Einwilligung. Die betroffene Person muss darüberhinaus in einfacher Sprache über den Art und Umfang der Datenerhebung und den Zweck informiert werden.

Keine gültige Einwilligung kommt übrigens durch „Schweigen“ zustande sowie durch vorab angeklickte Checkboxen bei Online-Formularen. Auch eine „blanko“ Einwilligung ist nicht zulässig – der betroffenen Person muss bekannt sein, welche Daten verarbeitet werden.

Rechte der Betroffenen

Im Mittelpunkt der DSGVO steht die Person, über die Daten erhoben und verarbeitet werden. Dabei kann es sich um Mitarbeiter, Kunden und andere Betroffene handeln. Betroffene verfügen im Zusammenhang mit der Datenverarbeitung über die folgenden Rechte:

  • Recht auf Auskunft,
  • Recht auf Berichtigung,
  • Recht auf Löschung,
  • Recht auf Einschränkung der Verarbeitung,
  • Recht auf Datenübertragbarkeit,
  • Widerspruchsrecht sowie
  • Recht auf Beschwerde bei der Aufsichtsbehörde.

Empfindliche Strafen drohen

Verstöße gegen die DSGVO werden mit empfindlich hohen Strafen geahndet. Geldbußen von bis zu 20 Millionen Euro oder – bei Unternehmen – von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres können verhängt werden. Strafbar ist übrigens auch Fahrlässigkeit.